Une étude publiée Paul Vines, Tadayoshi Kohno et Franziska Roesner, chercheurs à l’Université de Washington, montre à quel point le ciblage publicitaire peut permettre à des personnes mal intentionnées d’espionner d’autres personnes.

1 000 dollars suffisent pour espionner quelqu’un

Les chercheurs rappellent le contexte de leur recherche : « le ciblage publicitaire (…) devient de plus en plus précis. Les utilisateurs génèrent de plus en plus de données personnelles, partagées avec les annonceurs, car la vie quotidienne s’entremêle de plus en plus avec des technologies en réseau ». Les capteurs des smartphones, des objets connectés et notre usage de ces derniers permet aux entreprises de nous proposer des publicités de plus en plus ciblées en fonction de nos activités.
Le problème avec ce ciblage de plus en plus fin, c’est qu’un individu lambda, avec quelques connaissances techniques et un budget d’environ 1000 euros, peut décider d’espionner un utilisateur jusqu’à suivre ces déplacements. La carte ci-dessous a été générée par les chercheurs grâce aux publicités ciblées.

L’identifiant publicitaire des téléphones en cause

Pour ne cibler qu’une personne, plusieurs techniques sont possibles. On peut croiser suffisamment de critères semi-uniques ou accéder à un critère unique : le MAID, pour Mobile Advertising ID. Chaque téléphone possède un identifiant publicitaire unique. C’est comme un cookie permanent. Pour l’obtenir, plusieurs techniques sont évoquées : espionner un réseau WiFi (c’est d’actualité, étant donné la faille découverte récemment dans la norme WPA2…), attendre que la cible clique sur la publicité ou, dans certains cas, affiche simplement la publicité sans aucune interaction (cela fonctionne lorsque le JavaScript est autorisé dans la publicité).

Une fois cette donnée obtenue, il suffit d’utiliser des plateformes publicitaires (DSP) pour lancer une campagne publicitaire. Le principe : créer de multiples publicités, qui ciblent l’identifiant unique et une zone géographique délimitée (GPS). En maillant correctement une zone, on peut suivre les déplacements d’une personnes à chaque fois qu’il visualise une publicité sur son téléphone (voir ci-contre). Les chercheurs ont axé leurs recherches sur l’espionnage des déplacements, mais la diffusion de publicités ciblées permet aussi d’accéder à la liste des applications installées sur le téléphone de la victime, par exemple.

Comment se protéger contre ce type d’espionnage ?

Les chercheurs préviennent : ne vous attendez pas à ce que les plateformes publicitaires s’attaquent à ce genre de problème. « La tension est forte sur le marché de la publicité en ligne : les fonctionnalités de ciblage ultra-précises utilisées ont été conçues à des fins commerciales légitimes. Les annonceurs sont incités à créer des annonces de plus en plus ciblées, et chaque amélioration de la précision augmente les capacités d’intelligence publicitaire ». Pour se protéger, il est conseillé de :

• Réinitialiser régulièrement son identifiant publicitaire
• Désactiver le Wi-Fi quand ce n’est pas nécessaire
• Désactiver le GPS quand ce n’est pas nécessaire
• Donner l’autorisation d’accéder à votre localisation uniquement si nécessaire

Pour vous aider dans ces démarches, la CNIL a publié un article que nous vous conseillons de consulter, notamment pour réinitialiser votre identifiant publicitaire sur Android et iOS : Maîtrisez les réglages « vie privée » de votre smartphone.